Category: ISA Server 2006


 
 久しぶりにISAを調べたら、デザインが変わっていてびっくりしました。
 
 製品ページ
 Tech Center
 
 ということで、本題。
 
 ISA は他のサーバーとの接続状態を監視することができます。
 既定では、30秒間隔でサーバーの監視を行います。
 
 この監視間隔は、スクリプトを使って変更することができます。
 
 英語の資料ですが、以下のサイトに掲載されています。
 
 
 
 
 確か以前は、レジストリを直接変更した記憶があるのですが、定かではありません。
 
  
 
○SBS2008で、インターネットにアクセスするためのセキュリティグループを作成します。
1.「SBSコンソール」、「ユーザーとグループ」、「グループ」タブにある「新しいグループの追加」タスクをクリックします。
   
 
2.「次へ」をクリックします。
  
 
3.「グループ名」を”Windows SBS Internet Users”と入力し、「グループの種類」は”セキュリティグループ”を選択し、
  「次へ」をクリックします。
  
 
4.「グループの追加」をクリックします。
  
 
5.「完了」ボタンをクリックします。
  
 
6.必要に応じて、ユーザーロールに作成したセキュリティグループを追加します。
  ユーザーロールにセキュリティグループを追加すると、ユーザーロールで作成されたユーザーに自動的にセキュリティグループが追加されます。
  
 
 
○ISA Server 2006で、ファイヤーウォールルールを作成します。
7.「ISA Serverの管理」、「ファイヤーウォールポリシー」、「タスク」にある「アクセスルールの作成」をクリックします。
  
 
8.「アクセスルールの名前」に”インターネットアクセス”と入力し、「次へ」をクリックします。
  
 
9.「許可する」を選択し、「次へ」をクリックします。
   
 
10.「追加」ボタンをクリックします。
  
 
11.「HTTP」、「HTTPS」を選択し、「追加」ボタンを押します。
  
 
12.「追加」をクリックします。
  
 
13.「送信元」に”内部”を追加して、「次へ」をクリックします。
  
 
14.「宛先」に”外部”を選択して、「次へ」をクリックします。
  
 
15.ユーザーは先ほどSBS2008で作成したセキュリティグループを選択するために、「追加」を選択します。
  
 
16.「新規作成」を選択します。
  
 
17.「ユーザーセット名」に”SBS Internet Users”と入力し、「次へ」をクリックします。
  
 
18.「追加」をクリックします。
  
 
19.「Windowsユーザーとグループ」を選択します。
  
 
20.先ほど作成したセキュリティグループを選択し、「次へ」をクリックします。
  
 
21.「完了」をクリックします。
  
 
22.「SBS Internet Users」を選択して、「追加」をクリックします。
  
 
23.「SBS Internet Users」が表示されていることを確認して、「次へ」をクリックします。
  
 
24.「完了」をクリックします。
  
 
25.「適用」ボタンを押し、変更内容を反映させます。
  
 
27.ログを確認して、適用したルールが正しく動作しているか確認します。
 
 
次へつづく
 
 
 
ファイヤーウォールポリシーを作成していきます。
SBS2008を使う場合
 b. インターネットへのアクセス許可(SBS2008)
 c. Exchange へのSMTPアクセス許可
 d. Outlook Webアクセス許可
 e. Outlook Anywhereアクセス許可
 f. Exchange ActiveSync アクセス許可
 g. Remote Web WorkPlace アクセス許可
 h. Companyweb アクセス許可
を作成すれば一通りの機能をつかうことができます。
これ以外に、
 i. アクセス許可サイト
 j. アクセス禁止サイト
 k. ウイルス対策ソフト等定義ファイルダウンロード許可サイト
 l. ソフトウエアアップデート許可サイト
 m. 実行形式ファイルダウンロード許可サイト

 n. FTPアップロード許可サイト

など、運用の柔軟性の理由からアクセスルールをできるだけ細かく作成することをお勧めします。
 
 
 
前回に引き続きおまけです。
ISA Server 2006 のファイヤーウォールルールをどのように決めていくのか。
 
 1.ネットワークポリシーで決まっている。
 2.実際のネットワークに流れているデータを確認し、ルールを作成する。
 
今回は、2番目について解説します。
 
カスタムルールを作成していない場合は、下の図のように接続が拒否されています。
 
ここから、通過させたいプロトコル、送信元、あて先、ユーザーなどを確認して、ルールを作成していきます。

 ルールーの例としては、

  「特定の端末だけ実行形式ファイルをダウンロードさせる」
  「特定のサイトは見せる・見せない」
  「特定のサイトにアクセスしたかどうか調査したい」
 などがあります。

<ファイヤーウォールルールの作成方法>

1.ファイヤーウォールポリシーのタスクにある「アクセスルールの作成」をクリックします。
  ルールの名前を入力し、「次へ」をクリックをします。
  
 
2.「許可する」を選択し、「次へ」をクリックします。
  
 
3.プロトコルを追加(DNS)し、「次へ」をクリックします。
  
 
4.送信元を追加(内部)し、「次へ」をクリックします。
  
 
5.あて先を追加(信頼できる外部DNSサーバー)し、「次へ」をクリックします。
  
 
6.ユーザーを選択し、「次へ」をクリックします。
  
 
7.「完了」をクリックします。
  
 
8.「適用」ボタンを押します。
  
 
9.ログを確認して、作成したルールが正しく動いていることを確認します。
  

ファイヤーウォールルールの基礎知識についてです。
前回設定しました「システムポリシー」ですが、
これは、ファイヤーウォールポリシーの一種となります。
既定で30種類のファイヤーウォールポリシーが設定されています。
  
 
この 「システムポリシー」のファイヤーウォールポリシーを通過した後に
カスタムのファイヤーウォールポリシーが適用されます。
 
ルールは、上から適用され、適用の順番を変更することができます。
 
ルールそれぞれを有効にしたり無効にしたりできますので、
普段使わないルールは、無効にしておきます。
 
また、それぞれのルールについてログに記録するかどうか設定できます。
既定ではログを記録するようになっています。
 
 
ルールが適用されるユーザーを設定できます。
ただし、ISA Serverがユーザーを認識できる必要があります。
 
 
ルールが稼動する時間帯を設定することができます。
 
プロトコルがHTTPの場合、ルールを適用するコンテンツの種類を選択できます。
 
 
 
これら多彩な設定によって、ファイヤーウォールルールを作成していきます。
 
○ISA Server 2006 のシステムポリシーを環境に応じて設定をします
1.「ISA Server 管理コンソール」を起動します。
  
 
2.「ファイヤーウォールポリシー」を選択します。
  
 
3.「ツールボックス」タブを選択し、「コンピュータセット」にある「リモート管理コンピュータ」をダブルクリックします。
  
 
4.「追加」ボタンを押します。
  
 
5.「名前」、「コンピュータのIPアドレス」を入力し、「OK」を押します。
  
 
6.「OK」ボタンを押します。
  
 
7.「適用」ボタンを押します。(このボタンを押したときにISA Serverに変更が反映されます。)
  
 
8.「システムポリシーの編集」を選択します。
  
 
9.環境に応じて設定をしていきます。
 
 
 
○ISA Server 2006 に証明書をインポート
1.ISA Server 2006で、スタートメニューの「ファイルを指定して実行」に”MMC”と入力して、[Enter]を押します。
  
 
2.ファイルメニューにある「スナップインの追加と削除」を選択します。
  
 
3.「追加」ボタンを押します。
  
 
4.「証明書」を選択し、「追加」を選択します。
  
 
5.「コンピュータアカウント」を選択し、「次へ」を選択します。
  
 
6.そのまま「次へ」を選択します。
  
 
7.証明書が追加されていることを確認して、「OK」を選択します。
  
 
8.「証明書」、「個人」の順に展開し、右クリックをしてメニューを表示させます。
  「すべてのタスク」、「インポート」を選択します。
  
 
9.「次へ」を選択します。
  
 
10.インポートする証明書ファイルを選択し、「次へ」を選択します。
  
 
11.パスワードを入力し、「次へ」を選択します。
  
 
12.そのまま「次へ」を選択します。
  
 
13.「完了」を押します。
  
 
 

 
 

  
○SBS2008のSSL証明書をエクスポート
1.SBS2008で、スタートメニューの「ファイルの検索」に”MMC”と入力し、[Enter]を押します。
  
 
2.「ファイルメニュー」の「スナップインの追加と削除」を選択します。
  
 
3.利用できるスナップインにある「証明書」を選択し、「追加」ボタンを押します。
  
 
4.「コンピュータアカウント」を選択し、「次へ」を選択します。
  
 
5.「ローカルコンピュータ」を選択し、「次へ」を選択します。
  
 
6.選択されたスナップインに「証明書(ローカルコンピュータ)」が表示され手いることを確認し、「OK」を選択します。
  
 
7.「証明書」、「個人」、「証明書」の順に展開します。
  証明書を右クリックし、「すべてのタスク」、「エクスポート」を選択します。
  
 
8.証明書をエクスポートします。「次へ」を選択します。
  
 
9.「はい、秘密キーをエクスポートします」を選択し、「次へ」を選択します。
  
 
10.「証明のパスにある証明書を可能であればすべて含む」にチェックをして、「次へ」を選択します。
  
 
 
11.パスワードを設定し、「次へ」を選択します。
  
 
 
12.エクスポートするファイル名を指定し、「次へ」を選択します。
  
 
13.「完了」ボタンを押すと、証明書がエクスポートされます。
  
 

 

次回へ続く

 
○ISA Server 2006のインストール

1.インストールプログラムを起動し、「ISA Server 2006のインストール」をクリックします。

   
 
2.「次へ」をクリックします。
   
 
3.「使用許諾契約書に同意します」を選択し、「次へ」をクリックします。
   
 
4.必要情報を確認して、「次へ」をクリックします。
  ここでは、情報を伏せています。
   
 
5.インストールオプションを選択し、「次へ」を選択します。
  インストール先を変更したい場合は、「カスタム」を選択します。
   
 
6.内部ネットワークを指定するために「追加」ボタンを押します。
   
 
7.「アダプタの追加」を選択します。
   
 
8.「Internal Network」を選択し、「OK」を選択します。
   
 
9.内部ネットワークアドレス範囲に指定したアドレスが表示されていることを確認し、「次へ」を選択します。
   

 
10.「次へ」を選択します。
   
 
11..「次へ」を選択します。
   
 
12.「インストール」を選択すると、インストールが開始します。
   
 
13.「完了」ボタンを押します。
   
 
 
14.引き続き、ISA Server 2006 SP1をインストールします。
  インストールプログラムを起動し、「次へ」を選択します。
   
 
15.「使用許諾契約書に同意します」を選択し、「次へ」をクリックします。
   
 
16.「インストール」を選択すると、インストールが開始します。
   
 
17.「完了」ボタンを押します。
   
 
 
 
 
 
 
1.システム要件の確認
 ISA Server 2006では、ネットワークカードが2枚以上必要となります。
 詳細は、以下のサイトを参照してください。
  http://www.microsoft.com/japan/isaserver/prodinfo/system-requirements.mspx
2.Windows Server 2003をインストール
 
3.ネットワークの設定
  コントロールパネルにあるネットワーク接続を開き、名称を次のように変更します。
  ”Internal Network” SBS2008のネットワークへ接続するNIC
  ”External Network” インターネットへ接続するNIC
 
4.”Internal Network”の設定
  「IPアドレス」は、ISA Server 2006のIPアドレス(192.168.0.10)を入力します。
  「サブネットマスク」は、ネットワーク規模に応じた値(255.255.255.0)を入力します。
  「デフォルトデートウェイ」は、空白のまま。
  「DNSアドレス」は、SBS2008のIPアドレス(192.168.0.11)を入力します。
   
 
5.”External Network”の設定
  「IPアドレス」は、ISA Server 2006のIPアドレス(インターネット側)を入力します。
  「サブネットマスク」は、ネットワーク規模に応じた値を入力します。
  「デフォルトデートウェイ」は、ルーターのIPアドレスを入力します。
  「DNSアドレス」は、空白のまま。
  「Microsoftネットワーク用クライアント」のチェックボックスをはずします。
  「Microsoftネットワーク用ファイルとプリンタ共有」のチェックボックスをはずします。
   
 
   TCP/IPの詳細設定のNetBIOS設定を「NetBIOS over TCP/IPを無効にする」にします。
   
 

6.更新プログラムの適用 (4/15に追加しました)
  KB948496の更新プログラムを適用します。
  
  Windows Server 2003 ベースおよび Small Business Server 2003 ベースの既定の SNP 機能をオフにする更新プログラム
  http://support.microsoft.com/kb/948496/ja

 

7.SBS2008のドメインに参加
  詳細は、「Small Business Server 2008 にサーバーを追加する方法」を参照してください。